Pwn2Own Automotive 2025の初日、セキュリティ研究者は16のユニークなゼロデイを悪用し、賞金38万2750ドルを集めた。
Fuzzware.ioは、スタックベースのバッファオーバーフローとオリジン検証エラーのバグを使用してAutel MaxiChargerとPhoenix Contact CHARX SEC-3150電気自動車充電器をハッキングし、競争をリードしています。これにより彼らは$50,000と10 Master of Pwnポイントを獲得した。
Summoning TeamのSina Kheirkhahも、ハードコードされた暗号キーのバグと3つのゼロデイ(うち1つは既知)のコンボを使ってUbiquitiとPhoenix ContactのCHARX SEC-3150 EV充電器をハッキングし、91,750ドルと9.25 Master of Pwnポイントを獲得しました。
Synacktiv Teamは、OCPPプロトコルのバグを利用し、コネクタを介した信号操作でChargePoint Home Flex(CPH50型)のハッキングに成功し、リーダーボード3位で57,500ドルを獲得した、
また、PHP Hooligansのセキュリティ研究者は、ヒープベースのバッファオーバーフローを使用して、完全にパッチが適用されたAutel充電器のハッキングに成功し、5万ドルを獲得した。Viettel Cyber Securityチームは、OSコマンドインジェクションのゼロデイを使用して、Kenwood車載インフォテインメント(IVI)のコード実行を取得し、2万ドルを獲得した。
Pwn2Ownでゼロデイ脆弱性が悪用され報告された後、ベンダーはトレンドマイクロのゼロデイ・イニシアチブが公開する前に、90日以内にセキュリティパッチを開発しリリースする必要があります。
Pwn2Own Automotive 2025は、自動車技術に焦点を当てたハッキングコンテストで、1月22日から1月24日まで東京で開催されるオートモーティブワールドの期間中に行われます。
コンテストを通じて、セキュリティ研究者は電気自動車(EV)の充電器、車載インフォテインメント(IVI)システム、自動車のOS(オートモーティブ・グレードLinux、アンドロイド・オートモーティブOS、ブラックベリーQNXなど)をターゲットにすることができる。
テスラもModel 3/Y(Ryzenベース)相当のベンチトップ・ユニットを提供したが、出場者は同社のウォール・コネクタに対するトライしか登録していない。
今年のオートモーティブ・ハッキング・コンテストの全スケジュールはこちらで、初日のスケジュールと各チャレンジの結果はこちらで確認できる。
2024年1月に開催されたPwn2Own Automotiveの第1回では、ハッカーたちはテスラを2度ハッキングし、複数の電気自動車システムに49個のゼロデイ・バグを実証して132万3750ドルを集めた。
その2ヵ月後、Pwn2Own Vancouver 2024では、セキュリティ研究者が29のゼロデイを悪用し、113万2500ドルを獲得した(バグの衝突もあった)。Synacktivは、Vehicle (VEH) CAN BUS Controlを搭載したECUを30秒以内にハッキングし、20万ドルとテスラ・モデル3を獲得しました。
Comments